深入解析 Kubernetes 节点操作：Cordon、Uncordon 和 Drain 的使用与最佳实践

摘要

Kubernetes 是一个用于自动化容器部署、扩展和管理的开源系统，而节点管理是其核心功能之一。cordon、uncordon 和 drain 是 Kubernetes 提供的与节点操作相关的三个重要命令，用于节点的调度控制和维护管理。本文将从概念、命令解析、内部机制和最佳实践等多方面，深入解析这三个命令的功能、作用及其在实际场景中的应用。

1. 背景与概述

在 Kubernetes 集群中，Node（节点）是运行 Pod 的基本单元。当一个节点需要进行维护、升级或下线时，必须确保节点上的负载安全地迁移，同时避免对应用服务造成中断。为此，Kubernetes 提供了一套与节点状态管理相关的工具：

• kubectl cordon：标记节点为不可调度状态。
• kubectl uncordon：将节点恢复为可调度状态。
• kubectl drain：驱逐节点上的 Pod，并自动将节点设置为不可调度。

2. 三个命令的核心概念

2.1. cordon

cordon 命令的核心功能是将节点标记为 Unschedulable。在此状态下，调度器（Scheduler）将不会向该节点分配新的 Pod。

• 实现原理：

  • cordon 会修改节点的 spec.unschedulable 字段，将其设置为 true。
  • 调度器在调度 Pod 时，会跳过所有被标记为 Unschedulable 的节点。

• 使用场景：

  • 临时禁止新 Pod 调度到节点上（例如，准备进行维护）。
  • 不影响当前正在运行的 Pod。

• 命令示例：

  kubectl cordon node-name
  

2.2. uncordon

uncordon 命令是 cordon 的逆操作，用于将节点从不可调度状态恢复为可调度状态。

• 实现原理：

  • 修改节点的 spec.unschedulable 字段，将其设置为 false。
  • 调度器会重新将该节点纳入候选节点集合，用于分配新的 Pod。

• 使用场景：

  • 在节点完成维护或问题修复后，恢复其正常调度能力。

• 命令示例：

  kubectl uncordon node-name
  

2.3. drain

drain 是一个更复杂的操作，通常在节点需要进行维护时使用。它不仅会标记节点为不可调度，还会逐一驱逐（Evict）该节点上的所有 Pod。

• 实现原理：

  1. 调用 cordon 将节点标记为不可调度。
  2. 对节点上的所有 Pod 逐一发起驱逐请求，除非：
     • Pod 属于 DaemonSet（默认行为，可通过参数调整）。
     • Pod 的 local-storage 字段为 true，或未设置支持驱逐。
  3. 在所有驱逐任务完成后，节点上仅保留不支持驱逐的 Pod。

• 参数与选项：

  • --ignore-daemonsets：忽略 DaemonSet 创建的 Pod，不会尝试驱逐它们。
  • --delete-emptydir-data：允许删除使用 emptyDir 卷的 Pod 数据。
  • --force：强制驱逐，即使存在 Pod 没有 Eviction 策略。

• 命令示例：

  kubectl drain node-name --ignore-daemonsets --delete-emptydir-data
  

• 使用场景：

  • 节点维护：如升级内核、系统补丁、硬件维护。
  • 节点下线：在扩展或缩减集群规模时，安全迁移负载。

3. 技术细节解析

3.1. 调度器的工作机制

• Kubernetes 的调度器负责将 Pod 分配到合适的节点。
• 节点的 spec.unschedulable 字段是调度器筛选候选节点的一个关键条件。当该字段为 true 时，节点会被调度器忽略。
• cordon 和 uncordon 实际上是通过更新该字段来控制节点的调度状态。

3.2. Pod 驱逐的内部流程

1. 发起驱逐请求：
   • kubectl drain 会逐一向节点上的 Pod 发送驱逐请求。
2. 驱逐策略检查：
   • 如果 Pod 定义了 PodDisruptionBudget（PDB），Kubernetes 会检查驱逐是否满足最小可用副本数的限制。
   • 如果驱逐违反了 PDB，则该操作会失败。
3. Pod 驱逐完成：
   • 当 Pod 被成功驱逐后，其资源会释放，调度器可以将其调度到其他节点。

3.3. 与 DaemonSet 的交互

• DaemonSet 的 Pod 通常与节点绑定，例如监控代理或日志收集器。
• drain 默认忽略 DaemonSet 创建的 Pod，因为它们的行为与节点状态密切相关。
• 如果需要驱逐这些 Pod，可以使用 --force 参数。

4. 实际应用与最佳实践

4.1. 节点维护

• 步骤：
  1. 使用 kubectl drain 驱逐节点上的 Pod，确保其负载被迁移。
  2. 完成维护操作后，使用 kubectl uncordon 恢复节点。

4.2. 节点下线

• 步骤：
  1. 确保节点上的所有 Pod 被驱逐（kubectl drain）。
  2. 从集群中移除节点：

     kubectl delete node node-name
     

4.3. 弹性扩展

• 场景：在进行自动扩展时，可以动态调整节点的调度状态。
• 策略：
  • 临时扩展时，使用 cordon 防止额外负载。
  • 当负载恢复后，使用 uncordon 恢复节点正常调度。

5. 注意事项与限制

1. 数据丢失风险：

   • 驱逐带有 emptyDir 卷的 Pod 时，其数据将被删除。使用 --delete-emptydir-data 参数需格外小心。

2. PodDisruptionBudget 的影响：

   • 如果集群中定义了 PDB，kubectl drain 可能无法驱逐 Pod，除非满足 PDB 的要求。

3. DaemonSet 的处理：

   • 默认忽略 DaemonSet 创建的 Pod。如果需要强制删除，需要显式指定参数。

4. 资源规划：

   • 确保集群中有足够的资源以接收被驱逐的 Pod，否则可能导致调度失败。

6. 总结

cordon、uncordon 和 drain 是 Kubernetes 节点管理的重要工具，为管理员提供了灵活的节点控制能力。在实际应用中，应根据场景合理使用这些命令，以实现高效、安全的节点管理。同时，结合 PodDisruptionBudget 和资源规划，可以进一步优化操作流程，减少对业务的影响。

通过熟练掌握这些工具，运维人员可以在保证服务稳定性的同时，实现高效的集群管理与优化。